Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 2. díl
Lze jej velice obtížně detekovat, protože pokud je správně proveden, tak e-mail přichází od osoby, kterou dotyčný zná a od níž odpověď očekává.
Ne vždy se však útočníkovi podaří hacknout e-mailový účet odesílatele, a realizovat útok, tak jak byl popsán zde, a musí proto podvrhnout adresu odesílatele, čímž šance na odhalení roste. Ovšem moc se neradujte.
Obzvlášť tragické je to v případě nativních microsoftích klientů, které vám v okamžiku, kdy je v poli „from“ uvedeno jméno, které se shoduje se jménem osoby, která pracuje ve vaší organizaci, dotáhne i jeho fotografii, zobrazí její status a další údaje. Budete v takovém případě kontrolovat hlavičku a dívat se, co je uvedené v poli „envelope-from“? Nejspíš ne.
Mimochodem, všimli jste si, že můžete adresu domény v cyrilici zapsat jako punycode, a že vám ji Outlook zobrazí bez ohledu na to, že v ní jsou použity výhradně znaky, které se vizuálně shodují se znaky, které používá latinka? Takže homografní útok popsaný v minulém článku je zde rovněž možný!
Možná si říkáte, že to, od koho e-mail přišel, poznáte přeci snadno podle toho, co je uvedeno v poli „From“. Jenomže to není tak docela pravda. Potíž je v tom, že v e-mailu jsou pole „from“ hned dvě. Jedno se jmenuje „envelope-from“ a v něm je uvedena skutečná adresa odesílatele a do druhého, které se jmenuje jen „from“, si může každý napsat, co chce.
A právě z tohoto pole přebírá e-mailový klient adresu odesílatele, kterou vám následně zobrazí. Dobře, ale vždyť od toho je přeci SPF, který zajistí, že není možné přijmout e-mail z mailserveru, který není oprávněn k rozesílání e-mailů za danou doménu, nebo ne? To je sice pravda, ale SPF v tomto případě vůbec nepřijde ke slovu, protože SPF pouze kontroluje, co je uvedeno v „envelope-from“, nikoliv co je uvedeno v poli „from“.
Jistě, kdyby se útočník snažil změnit i hodnotu v „envelope-from“, tak pak by SPF zafungoval, ale proč by to útočník dělal, když stačí změnit pole „from“, které SPF nekontroluje. A koho napadne si zobrazovat u každého e-mailu hlavičku a prohlížet si, zda náhodou není uvedeno něco jiného v „envelope-from“, než ve „from“.
Další možnou ochranou by bylo DKIM, jenže tady je problém v tom, že tahle ochrana nedělá v zásadě nic jiného, než že se se vytvoří hash e-mailu nebo jen jeho určité části, který se zašifruje privátním klíčem, ke kterému má právo jen osoba, která se v dané doméně skutečně nachází.
Při kontrole se pak zjistí, že daný e-mail byl chráněn pomocí DKIM, a tak se udělá dotaz na danou doménu, a tím se získá veřejný klíč, tím se dešifruje zpráva a získá se její hash, který se následně porovná s hashem spočteným na straně příjemce zprávy. Pokud sedí, tak e-mail přišel opravdu z dané domény.
Tohle řešení by zcela jistě zabránilo v podvrhnutí e-mailu, protože útočník, který falšuje adresu odesílatele, se zpravidla nenachází v dané doméně a nemá přístup k privátnímu klíči, kterým se podepisuje. Je zde však stejný problém jako v případě SPF, nekontroluje se pole „from“.
Dalším možným řešením je DMARC, který porovnává hodnotu uvedenou v poli „from“ a „envelope-from“ a je zde možné nastavit, jak se má zacházet s e-mailem, který má v obou polích uvedenou rozdílnou adresu.
Je tak možné e-mail nedoručovat vůbec anebo ho uložit do karantény či do složky SPAM a dále pak provozovateli daného mail serveru odesílat souhrnné hlášení o tom, co nebylo doručeno.
A jak tento problém řešíte vy?
Štítky: phishing
K článku “Spear phishing je cílený phishing, kterému se lze jen těžko bránit – 2. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
